Назад | Перейти на главную страницу

Неавторизованный DNS конфликтует с установленным регистратором TLD

У меня проблемы с пониманием, в чем проблема. Что-то не складывается.

Все началось с того, что сайт «www.taapcs.ca» не разрешался в нашей сети. Один из менеджеров спросил меня, почему это работает на его мобильном телефоне, а не в нашей сети.

Я выполнил nslookup и обнаружил, что у неавторизованного ответа был правильный IP-адрес, но когда я попытался получить авторитетный ответ, он не смог подключиться.

В неавторизованном ответе серверы имен отображались как ns5.newtekdns.com. Я мог пинговать этот хост, но при использовании «server ns5.newtekdns.com» в nslookup не смог подключиться, когда я выполнил запрос. Чтобы убедиться, что это не проблема с nslookup - я пробовал использовать telnetting на порту 53, но не установил соединение. Вместо этого истекло время ожидания.

Я думал, что решил проблему - их сервер имен не отвечал на DNS-запросы ... но потом все стало странно.

Я мог выполнять авторитетные поиски, когда пытался из других сетей, кроме моей, - но не из всех. ТАКЖЕ. Когда я просмотрел запись регистратора на CIRA (TLD для .ca) ... она показала, что сервер имен был "ns5.webcontrolcenter.com" ... и последней датой обновления в записи было "2017/05" / 17 "- почти год назад.

Это не имело смысла - как ns5.newtekdns.com вообще попал в неавторитетные записи ??

Итак, я немного погуглил и обнаружил, что в феврале были захвачены домены Newtek ... и одним из этих доменов был webcontrolcenter.com ...

Хорошо - объясняет, как webcontrolcenter.com вошел в микс ... но он все еще не объясняет, почему я получаю неавторитетные ответы ns5.newtekdns.com, когда TLD сообщает о ns5.webcontrolcenter.com ... и не объясните, почему я могу подключиться к DNS-серверу newtekdns.com, но только из определенных сетей ..

Я подумал, что, возможно, некоторые из интернет-провайдеров, которых я использовал, могут блокировать любые DNS-соединения, кроме своих DNS-серверов ... но у меня есть VPS на liquidweb, и у него тоже была эта проблема. Так что это кажется маловероятным.

Я также должен упомянуть, что ns5.webcontrolcenter.com не разрешается.

Это меня немного поставило в тупик ... Кажется, глупый мозг, но на данный момент я чувствую, что либо newtek пытается опередить TLD ... либо TLD имеют какой-то механизм защиты от взлома, который может переопределить SOA регистратора.

Может ли кто-нибудь пролить свет на это для меня?

Сначала взгляните на http://dnsviz.net/d/www.taapcs.ca/WuvNaw/dnssec/ : вы увидите это taapcs.ca настроен совсем не правильно.

Конкретная ошибка:

Зона taapcs.ca: Следующие имена NS не разрешены для адресов: ns5.webcontrolcenter.com, ns6.webcontrolcenter.com

Дальше копать (!) Не надо: этот домен сломан. Он может работать или нет, но он точно настроен неправильно. Так что это должно быть исправлено его владельцем / обработчиком.

Что касается остальных вопросов / наблюдений, вы не указываете точно, какие запросы вы делаете и на какие серверы имен, поэтому трудно объяснить, что вы видите, потому что это даже не ясно. Вы можете попробовать несколько открытых рекурсивных серверов имен, чтобы узнать их мнение:

$ dig www.taapcs.ca A @8.8.8.8

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca A @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 32886
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.taapcs.ca.         IN  A

;; Query time: 86 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 03 22:08:17 EST 2018
;; MSG SIZE  rcvd: 42

$ dig www.taapcs.ca A @9.9.9.9

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca A @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41973
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.taapcs.ca.         IN  A

;; Query time: 296 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu May 03 22:08:22 EST 2018
;; MSG SIZE  rcvd: 42


$ dig www.taapcs.ca A @1.1.1.1

; <<>> DiG 9.10.3-P4-Debian <<>> www.taapcs.ca A @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54227
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1536
;; QUESTION SECTION:
;www.taapcs.ca.         IN  A

;; ANSWER SECTION:
www.taapcs.ca.      3600    IN  A   216.119.109.200

;; Query time: 374 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri May 04 05:10:46 CEST 2018
;; MSG SIZE  rcvd: 58

Обратите внимание на два SERVFAIL, и действительно CloudFlare вместо этого отвечает IP и NOERROR.

Я не знаю, как / где вы видите неавторитетные элементы:

$ dig www.taapcs.ca @any.ca-servers.ca A

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca @any.ca-servers.ca A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42958
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.taapcs.ca.         IN  A

;; AUTHORITY SECTION:
taapcs.ca.      86400   IN  NS  ns5.webcontrolcenter.com.
taapcs.ca.      86400   IN  NS  ns6.webcontrolcenter.com.

;; Query time: 45 msec
;; SERVER: 199.4.144.2#53(199.4.144.2)
;; WHEN: Thu May 03 22:16:55 EST 2018
;; MSG SIZE  rcvd: 98